セキュリティホール memo - 2019.05

Last modified: Thu Jun 27 19:14:15 2019 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2019.05.31

OpenSSL 1.1.1c / 1.1.0k / 1.0.2s 公開
(OpenSSL, 2019.05.28)

 出ました。OpenSSL 1.1.1c / 1.1.0k には OpenSSL Security Advisory [6 March 2019] ChaCha20-Poly1305 with long nonces (CVE-2019-1543) の修正が含まれます。iida さん情報ありがとうございます。

追記

兵庫県警サイバー犯罪対策課、ジョークページの URL を記載しただけの女子中学生らを補導 / 家宅捜索 (2019.03.05)

 関連:


2019.05.30

Apple 方面 (iTunes for Windows, iCloud for Windows)
(apple, 2019.05.28)

 for Windows な 2 件出ました。 セキュリティ上の修正点はどちらも同じ。 SQLite と WebKit の修正、合計 25 件。

追記

通信機器調達、安保リスク重視 政府が指針 中国製念頭 (2018.12.07)

兵庫県警サイバー犯罪対策課、ジョークページの URL を記載しただけの女子中学生らを補導 / 家宅捜索 (2019.03.05)

 3月に書類送検されていた男性 2 名、起訴猶予に。担当検察官、嫌疑なしとはできない程度には不誠実で、起訴するほどには馬鹿ではなかった模様。

 兵庫県警「被害者は0人だが、サイバー月間だから摘発した」

  • 神戸地検、「ブラクラ貼った」と書類送検された男性2人を起訴猶予処分に 「ウイルス罪に該当」との認識は変わらず (Kikka / ねとらぼ, 2019.05.29)。起訴猶予となった男性 2 名にインタビュー。

    ――起訴猶予という処分が出たことについてはどう感じていますか。

    Bさん:いやだな、と思ったというのが率直な心境です。結局処分が出た今でも、私の行為が刑法のどの部分に触れたのか。何をしたから検挙されたのかがすごく曖昧なままです。それなのに、私の行為は罪だと言われる、この状況がとてもつらいです。

     今回、私が検挙された際、兵庫県警の刑事から「被害者は0人だが、サイバー月間だから摘発した」「あなただけを攻撃したわけではない」というような説明がありましたが、私からすれば兵庫県警も神戸地検も曖昧な法解釈で捜査をして、曖昧な処分を出した似た者同士だと思っています。

 冤罪生成装置「サイバーセキュリティ月間」

 あと、こちらのツイート:


2019.05.28


2019.05.24

追記

通信機器調達、安保リスク重視 政府が指針 中国製念頭 (2018.12.07)

 HongMeng OS の件。

 いろいろ。


2019.05.23

「Firefox 67.0」リリース、仮想通貨のマイニングやフィンガープリントによる追跡をブロックする機能が実装される
(OSDN, 2019.05.22)

 出てます。

2019.06.20 追記:

 Firefox 67.0.3 / ESR 60.7.1 が公開されてます。セキュリティ修正を含みます。

2019.06.27 追記:

 2019.06.20 付で Firefox 67.0.4 / ESR 60.7.2 と Thunderbird 60.7.2 が公開されてます。

 修正されているのは、以下の欠陥です。

いろいろ (2019.05.23)
(various)

Windows 10

Wireshark

curl

追記

通信機器調達、安保リスク重視 政府が指針 中国製念頭 (2018.12.07)

 ARM、ファーウェイへのライセンス供給を停止へ。

 パナソニックも。

 解説。

 ファーウェイ・任正非 CEO、日本メディア向け会見 (2019.05.18)

  • 華為トップ「若いころ親米だった」 米中対立、予言した (朝日, 2019.05.19)

     「華為はルール違反はしていない。米国は国力をかけて我々を攻撃しているけれども、現在のところ証拠は示していない。華為は外国では共産主義の国から来たと言われ、中国に戻れば資本主義だと思われる。両方で疑念を持たれる存在だったので、双方のレッドラインは越えないようにルールを守ってきた。そうしないと生き残れないからだ」

    ファーウェイは、中国政府からも「疑念を持たれる存在」だと。

     「だから、2003年ごろ、華為を米国企業(モトローラ)に100億ドルで売却する準備をし、契約もすませた。つまり、米国の帽子をかぶって、中国人が仕事をすれば、米国との鋭い衝突を避けられる、と考えたのだ。両社は着飾って、偉大なる取引の成功を祝うところまでこぎつけた。一緒に卓球もしたよ。ところが、突然に米国企業のトップが代わって、後任によって約束が破棄されてしまった」

    2003 年のファーウェイ売却頓挫については、[FT]ファーウェイ、15年前に米モトローラへ身売り計画 (日経, 2019.03.01) が詳しいようです。

    山頂で痛い目にあうかもしれないが、もう引き返さない。と。ならば、10年後に必ず米国と激烈な衝突に直面するから準備をせよ、と指示を飛ばした。そのときから『(米国との対立に備えた)スペアタイヤ』計画として、数千人を確保して隠密に準備をしてきた。

    プラン B の準備はできていると。

  • 【全文掲載】ファーウェイCEOインタビュー「我々は必ず頂点に登り詰める、そして生きて帰ってくる」 (Business Insider, 2019.05.20)

  • ツイート:

 ファーウェイ・任正非 CEO、中国メディア向け会見 (2019.05.21)

  • Huawei一色に染まった中国メディアーー創設者が語った本音 (遠藤誉 / Yahoo, 2019.05.22)

     中国のメディアが、ここまでHuawei(華為技術。以下「華為」)の情報を「全開」の形で報道するのは、初めてのことだ。(中略) 昨年末に開催された改革開放40周年記念大会で表彰された100人のリストにさえ華為の任正非氏は入ってなかったくらいだから(参照:2018年12月30日付けコラム「Huawei総裁はなぜ100人リストから排除されたのか?」)、華為のことを大々的に報道することなどあり得なかった。

    ファーウェイは「中国政府お気に入り」の企業では全くなかったのですよね。

     ところが、CCTVの解説によれば、120日ほど前から任正非氏がメディアに顔を出すようになり、5月21日の午前中には中国のほぼ全てのメディアの取材を受け、同日午後にはCCTVの単独取材にも応じた。これら全ての過程をCCTVが一日中報道し続け、他のメディアもそれに倣った。CCTVの最上位にいる名物司会者・白岩松氏が久々に登場し熱気に燃えて力強く報道する様は、圧巻とさえ映った。
     まるで中国のメディアが華為一色に染まった形だ。
     CCTVは任正非氏を「民族の英雄」とさえ言った。世界に対して「革命」を起こさんばかりの勢いだ。
     抗日戦争時に生まれた、現在の中国の国歌の中にあるフレーズ「中華民族は最も危険な時期に達した」を華為の現状に当てはめていることから、国家全体として「人民戦」を闘い抜こうという意思が読み取れる。

    時ここに至り、任正非 CEO は「民族の英雄」に祭り上げられてしまった模様。 米中戦争の矢面に立たされた、という感じなのだろうか。

    (筆者注:任正非氏が華為をアメリカ企業に売ってしまおうとしたという事実は大きい。もしアメリカの情報を抜き取って中国政府に渡そうとしたいたのだとしたら、アメリカ企業への売却という選択はあり得なかっただろう。筆者にとっては、この取材の中での最大の注目点であり、収穫だ。)

    あれ? 5/18 の日本メディア向け会見でも触れられていた話題なのに、 遠藤氏は初耳だと。もしかして、ファーウェイは 5/18 の日本メディア向け会見に遠藤氏をお呼びしなかったの?

  • 两万字,任正非采访全记录 (虎嗅网, 5/21)

 プラン B、その名は HongMeng OS ?


2019.05.22

追記

通信機器調達、安保リスク重視 政府が指針 中国製念頭 (2018.12.07)

 ファーウェイ関連:

 オープンソース Android ベースの独自 OS をつくるにせよ、 問題は、Google Mobile Services (GMS) が使えるかどうか。

 ファーウェイ、新製品 P30 / P30 lite を発表するも、ソフトバンクと KDDI は発売延期。ドコモも追随か。

 中国、レアアース禁輸で対抗か?


2019.05.21


2019.05.20

追記

通信機器調達、安保リスク重視 政府が指針 中国製念頭 (2018.12.07)


2019.05.17


2019.05.16

いろいろ (2019.05.16)
(various)

Titan Security Key (Google)

WhatsApp

WordPress Ultimate Member Plugin

Jw_cad

PostgreSQL

Intel製CPUに新たな脆弱性 ~“Microarchitectural Data Sampling(MDS)”が公表される
(窓の杜, 2019.05.15)

 Intel CPU に新たなサイドチャネル攻撃手法 MDS が発見されたそうで。

CVE-2018-12126:Microarchitectural Store Buffer Data Sampling(MSBDS)
CVE-2018-12130:Microarchitectural Fill Buffer Data Sampling(MFBDS)
CVE-2018-12127:Microarchitectural Load Port Data Sampling(MLPDS)
CVE-2018-11091:Microarchitectural Data Sampling Uncacheable Memory(MDSUM)

 このうち CVE-2018-12130 は ZombieLoad として他社から発表されたものと同じだそうです。

 脅威を完全に防止するためには、CPU のマイクロコード更新、OS の更新に加えて Hyper-Threading を無効にする必要があるそうで。

 対応状況:

追記

通信機器調達、安保リスク重視 政府が指針 中国製念頭 (2018.12.07)

 関連:


2019.05.15

2019 年 5 月のセキュリティ更新プログラム (月例)
(日本のセキュリティチーム, 2019.05.15)

 出ました。Flash Player, IE / Edge, Windows, Office, Team Foundation Server, Visual Studio, Azure DevOps Server, SQL Server, .NET Framework, .NET Core, ASP.NET Core, ChakraCore, Online Services, Azure, NuGet, Skype for Android 。

 修正された中で、CVE-2019-0708 というのが超ヤバいのだそうで。

2019.05.21 追記:

 関連:

2019.05.24 追記:

 関連:

Apple 方面 (iOS, tvOS, watchOS, macOS, Safari, Apple TV Software)
(Apple, 2019.05.13)

iOS

tvOS, Apple TV Software

watchOS

macOS, Safari

Adobe 方面 (Acrobat / Reader, Flash Player, Media Encoder)
(Adobe, 2019.05.14)

Acrobat / Reader

  • Security bulletin for Adobe Acrobat and Reader | APSB19-18 (Adobe, 2019.05.14)。84 件のセキュリティ欠陥を修正。Priority Rating: 2

    種別 更新版
    Acrobat DC / Acrobat Reader DC (Continuous Track) 2019.012.20034
    Acrobat 2017 / Acrobat Reader DC 2017 (Classic 2017) 2017.011.30142
    Acrobat DC / Acrobat Reader DC (Classic 2015) 2015.006.30497

Flash Player

Media Encoder

 

APSB19-27, -28 はまだ公開されていない模様。

Chrome Stable Channel Update for Desktop
(Google, 2019.05.14)

 Chrome 74.0.3729.157 公開。1 件のセキュリティ修正を含む。


2019.05.14


2019.05.13

いろいろ (2019.05.13)
(various)

Android

LibreOffice

Drupal


2019.05.09

追記

Firefox 66.0 / ESR 60.6.0 公開 (2019.03.20)

 Firefox 66.0.5、Android 版 Firefox 66.0.5、Firefox ESR 60.6.3 が公開されました。拡張機能の不具合の件が修正されています。 あまのみしおさん情報ありがとうございます。


2019.05.08


2019.05.07


2019.05.06

追記

新元号「令和」への対応まとめ (2019.04.01)

 10 連休最終日? 龍大は今日も授業実施日です。

 あと、Windows 方面で画面が崩れるという話があるようです。 MS UI Gothic、MS Pゴシックで問題が起こるようです。

いろいろ (2019.05.06)
(various)

Linux Kernel 5.x < 5.0.13 (GRO packet of death)

 BGM: 「愛をとりもどせ!!

phpBB

  • phpBB 3.2.6 Release - Please Update (phpBB, 2019.04.29)

    Previous versions of phpBB allowed users to run searches that might result in long execution times and load on larger boards when using the fulltext native search engine. To combat this, we have now introduced further restrictions on search queries. We’d like to thank Snover for his report and responsible disclosure. The issue has been assigned CVE-2019-9826.
  • CVE-2019-9826

「Firefox」v66.0.4が公開 ~アドオンが利用不能になる問題を修正  「Firefox ESR」やAndroid版「Firefox」にもアップデートを提供
(窓の杜, 2019.05.06)

 Firefox 66.0.4 公開。「Firefox」でインストール済みアドオンが利用不能になる問題が発生中 (窓の杜, 2019.05.04) を修正。


2019.05.02

追記

新元号「令和」への対応まとめ (2019.04.01)

 令和 2 日目。龍大は昨日も今日も授業実施日です。

いろいろ (2019.03.26) ASUS Live Update Utility

 関連:

  • ShadowHammer:新たな情報 (Kaspersky, 2019.04.25)

    この件を調査していく中で、当社のエキスパートは、同様のアルゴリズムを使用する別の検体を発見しました。ASUSの事例と同様、これら検体はデジタル署名された以下アジア企業のバイナリを使用していました。
    • Electronics Extreme – ゾンビサバイバルゲーム『Infestation: Survivor Stories』の制作会社
    • Innovative Extremist – WebおよびITインフラサービスのプロバイダー。同社のサービスはゲーム開発にも使用されている
    • Zepetto – ビデオゲーム『Point Blank』の開発元企業

いろいろ (2019.05.02)
(various)

Cisco

Dovecot

Chrome Stable Channel Update for Desktop
(Google, 2019.04.30)

 Chrome 74.0.3729.131 公開。2 件のセキュリティ欠陥を修正。


[セキュリティホール memo]
[私について]